Acerca del contenido de seguridad de QuickTime 7.5
En este documento se describe el contenido de seguridad de QuickTime 7.5, que se puede descargar e instalar desde las preferencias de Actualización de software o las Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
QuickTime 7.5
QuickTime
ID de CVE: CVE-2008-1581
Disponible para: Windows Vista y XP SP2
Impacto: abrir una imagen PICT diseñada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria.
Descripción: un problema en la gestión por parte de QuickTime de estructuras de PixData al procesar una imagen PICT puede provocar un desbordamiento del búfer de pila. Abrir una imagen PICT diseñada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria. Esta actualización soluciona el problema mejorando la comprobación de límites. Este problema no afecta a los sistemas que ejecutan Mac OS X. Gracias a Dyon Balding de Secunia Research por informar al respecto.
QuickTime
ID de CVE: CVE-2008-1582
Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2
Impacto: abrir un contenido multimedia con codificación AAC creado con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria.
Descripción: hay un problema de corrupción de memoria en la gestión por parte de QuickTime del contenido multimedia codificado en AAC. Abrir un contenido multimedia con codificación AAC creado con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria. Esta actualización soluciona el problema mediante la validación adicional de los archivos multimedia. Gracias a Dave Soldera de NGS Software y a Jens Alfke por informar de este problema.
QuickTime
ID de CVE: CVE-2008-1583
Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2
Impacto: abrir una imagen PICT diseñada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria.
Descripción: hay un desbordamiento del búfer de pila en la gestión de imágenes PICT por parte de QuickTime. Abrir una imagen PICT diseñada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria. Esta actualización soluciona el problema mejorando la comprobación de límites. Gracias a Liam O Murchu de Symantec por informar de este problema.
QuickTime
ID de CVE: CVE-2008-1584
Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2
Impacto: Ver contenido multimedia de vídeo de Indeo 4 creado con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria.
Descripción: un problema en la gestión de QuickTime del contenido del códec de vídeo Indeo puede provocar un desbordamiento del búfer de pila. Ver contenido multimedia de vídeo de Indeo creado con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria. Esta actualización soluciona el problema al no renderizar el contenido del códec de vídeo Indeo 4. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2008-1585
Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2
Impacto: reproducir contenido QuickTime creado con fines malintencionados en QuickTime Player podría provocar la ejecución arbitraria de código.
Descripción: existe un problema de gestión de URL en la gestión de archivos URL por parte de QuickTime. Esto puede permitir que se inicien aplicaciones y archivos arbitrarios cuando un usuario reproduzca contenido QuickTime creado con fines malintencionados en QuickTime Player. Esta actualización soluciona el problema revelando archivos en el Finder o el Explorador de Windows en lugar de iniciarlos. Gracias a Vinoo Thomas y Rahul Mohandas de McAfee Avert Labs, y Petko D. (pdp) Petkov de GNUCITIZEN en colaboración con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2008-2319
Disponible para: Mac OS X v10.3.9, Mac OS X v10.4.9 - v10.4.11, Mac OS X v10.5 o versiones posteriores, Windows Vista y XP SP2
Impacto: abrir una imagen PICT diseñada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria.
Descripción: un problema de extensión de signos en la gestión de imágenes PICT por parte de QuickTime puede provocar un desbordamiento del búfer de pila. Abrir una imagen PICT diseñada con fines malintencionados podría provocar que la aplicación se cierre de forma inesperada o que el código se ejecute de forma arbitraria. Esta actualización soluciona el problema al tratar el valor como sin firmar. Gracias a Sergio 'shadown' Alvarez de n.runs AG por informar de este problema.